Elke kmo mag nu ethisch gehackt worden via nieuwe wetgeving. De 10 voorwaarden?
Een recente wetswijziging maakt ethisch hacken nu ook helemaal legaal, zelfs wanneer het bedrijf hier niet om vroeg. Hierdoor verhoogt de kans dat je kmo op een dag gecontacteerd wordt door een ethisch hacker. Maar opgelet! Computerkrakers moeten voldoen aan strikte voorwaarden. Toets ze af bij een ethische hack van jouw onderneming.
Ethisch hacken is al ingeburgerd in veel bedrijven als methode om de cybersecurity te verhogen. Maar er zat een addertje onder het gras.
Tot nu toe werden mensen met goede bedoelingen vaak belemmerd om IT-kwetsbaarheden op te sporen en te melden. Want zelfs met een bug bounty programma riskeerden ethische hackers om aangeklaagd te worden.
In het kader van de Belgische nationale cyberbeveiligingsstrategie is er een nieuw wettelijk kader dat ethisch hacken mogelijk maakt. Gebruik dit om de activiteiten van computerkrakers in je systemen te beoordelen.
De nieuwe wetgeving staat nu elke natuurlijke of rechtspersoon toe om kwetsbaarheden in netwerken en informatiesystemen in België op te sporen en te melden. Hierdoor verhoogt de kans dat je kmo op een dag gecontacteerd wordt door een ethisch hacker.
Belangrijk hierin! Dit kan enkel wanneer de voorwaarden strikt nageleefd worden.
Hacken met frauduleuze bedoelingen of de intentie om schade te berokkenen, blijft strafbaar.
👉 Informeer je eerst over de basis van ethisch hacken. Lees het artikel Wat is ethisch hacken? Waarom is het interessant voor je kmo? Hoe engageer je een ethisch hacker?
10 voorwaarden voor ethisch hacken
Ken deze voorwaarden die de wetgever oplegt aan al wie legaal in systemen wil inbreken. Toets ze vervolgens af wanneer je organisatie zelf door een ethische hacker benaderd wordt.
Het doel is kwetsbaarheden opsporen
Het doel van ethisch hacking is kwetsbaarheden opsporen. Een kwetsbaarheid wordt gedefinieerd als "een zwakheid, vatbaarheid of gebrek van een netwerk- en informatiesysteem die kan worden uitgebuit door een cyberdreiging".
Elke bug moet onmiddellijk gemeld worden
De ontdekte kwetsbaarheden moeten zo snel mogelijk worden gemeld. Ofwel aan de organisatie die verantwoordelijk is voor een netwerk- en informatiesysteem wanneer die over een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden (CVDP) beschikt.
👉 Download hier de gratis template die je helpt bij het opstellen van een beleid. Of roep professionele cybersecurity -hulp in met de steun van de kmo-portefeuille of het cybersecurity-verbetertraject van VLAIO
Ofwel moet de kwetsbaarheid gemeld worden volgens de voorziene procedure aan het Centrum voor Cybersecurity België (CCB) wanneer moeilijkheden optreden of wanneer de verantwoordelijke organisatie niet binnen een redelijke termijn reageert.
Voor elke betrokken organisatie moet een aparte melding gebeuren.
Het is verboden om dieper te hacken
Hackers moeten zich strikt beperken tot feiten die noodzakelijk zijn om een kwetsbaarheid in een netwerk- en informatiesysteem op te sporen en te melden. Hij mag dus niet verder gaan dan wat noodzakelijk en evenredig is om het bestaan van een kwetsbaarheid na te gaan.
Het is niet de bedoeling de kwetsbaarheid te gebruiken om na te gaan hoe ver men in een systeem, proces of controle kan binnendringen. Ook is het niet verantwoord om de beschikbaarheid van de door de betrokken apparatuur verleende diensten te verstoren.
Hackers mogen geen schade toebrengen
De ethische hacker mag niet inbreken met bedrieglijk opzet of met het oogmerk om te schaden. Als onderneming moet je dus op je twee oren kunnen slapen tijdens de hacking.
Vervolgens kan je met de gevonden kwetsbaarheden ervoor zorgen dat echte hackers je onderneming geen schade meer kan toebrengen.
Geen losgeld in ruil voor informatie
Hackers mogen de gehackte organisatie niet vragen om te betalen voor de ontdekte informatie. De uitzondering hierop zijn de vooraf uitdrukkelijke beloningen of vergoedingen in het kader van een pentest- of bug bounty-overeenkomst.
Echte cybercriminelen vragen steeds meer losgeld bij een ransomware -aanval. Lees hier het dagboek van een gehackte kmo.
Hackers moeten zich bekendmaken
Hackers moeten zich indien mogelijk tijdens hun onderzoek bekendmaken bij de verantwoordelijke organisatie. Zo tonen ze hun goede bedoelingen, bijvoorbeeld door een header of een andere identificeerbare parameter te gebruiken.
Indien meerdere personen aan het onderzoek hebben deelgenomen, kan de melding gebeuren op naam van verschillende personen. Deze nemen dan samen de verantwoordelijkheid op zich.
Bewijzen moeten gedeeld worden
Hackers houden best bewijzen bij van de ondernomen acties (logging) met betrekking tot het gekraakte netwerk- en informatiesysteem. Zo kunnen ze aantonen dat ze de kwetsbaarheid zo snel mogelijk hebben gemeld. Deze informatie moeten ze delen bij de melding.
Hackers mogen niets openbaar maken
Computerkrakers mogen geen informatie over de ontdekte kwetsbaarheid openbaar maken zonder toestemming van het nationale CSIRT (CCB).
Gegevens veilig bewaren of verwijderen
Gegevens uit het systeem, het proces of de controle mogen niet worden gebruikt of bewaard, tenzij het strikt noodzakelijk is om het bestaan van een kwetsbaarheid aan te tonen. Dit kan nodig zijn tijdens een gerechtelijke procedure. In deze periode moeten ze veilig worden bewaard.
Ook moeten alle verzamelde gegevens binnen een redelijke termijn na de melding worden verwijderd.
Phishing , ransomware , DDOS -aanvallen… blijven verboden
Ethisch hacken is niet hetzelfde als het installeren van malware zoals ransomware, virussen, wormen en Trojaanse paarden. Ook verboden zijn: DDOS-aanvallen, social engineering, phishing, spamming, het stelen van paswoorden of brute force-aanvallen, het verwijderen van gegevens uit het informaticasysteem…
De volledige lijst en uitgebreidere informatie over de nieuwe wetgeving vind je op Een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden
Daar vind je ook het meldingsformulier waarmee hackers een beveiligingskwetsbaarheid kunnen melden aan het nationale CSIRT (CCB).